[极客大挑战 2019]Havefun (一起来撸猫) CTF复现

Posted 2021-03-13 g0udan

前言

这是一道非常简单基础的CTF题，好久都没有遇到这种简单的题了，让我看到了生活的希望，对未来充满了向往
题目链接：https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Havefun
（https://buuoj.cn里面web类的[极客大挑战 2019]Havefun）

复现

• 初次试水
  打开题目链接我们可以看到只是一个静态页面，就连可以点的东西都没有
  

• 明察秋毫
  页面出了一只可爱的胖猫以外啥都没有，一下子就感觉这道题不简单呀，难道又是一道烧脑的CTF吗？
  我们再进一步去试探，右键查看源代码，看看里面有没有提示或者信息泄露什么的
• 一脸懵逼
  在源代码最后几行中出现了可疑的注释

                <!--
        $cat=$_GET['cat'];
        echo $cat;
        if($cat=='dog'){
            echo 'Syc{cat_cat_cat_cat}';
        }
        -->

这是一段php代码，我们以GET方式传入cat，直接输出cat的值，如果cat的值为dog则将直接输出Syc{cat_cat_cat_cat}。开始我还以为Syc{cat_cat_cat_cat}就是flag，提交发现失败了，但是这个格式和flag长得特别像，就算不是flag也可能和flag有种xx关系。我们试着传入cat的值为dog（http://d776180d-4960-4eca-8b2a-e87c5f2f3d71.node3.buuoj.cn/?cat=dog）
结果出来的不是Syc{cat_cat_cat_cat}，而是真的flag，我也是一脸懵逼呀。

总结

也许出题人就是想考一下‘聪明’人，故意写一个假的flag把人给强制带偏。我们在CTF比赛中要多去试探，不要为了节约一些时间而错过了出题人给你的惊喜